重庆大学×深信服:要得,安全运营巴适的板!
作者: 日期:2022年09月19日 阅:1,981

延迟开学、网上授课、封闭管理、线上毕业……从2020年新冠肺炎疫情的爆发开始,众多高校的教育教学工作遭到了巨大影响。

然而,嘉陵江畔这所传承百年的高校却依旧“巴适的板”。在极短时间内,重庆大学上线了一大批覆盖教学、校园生活的“互联网+防疫”应用,以“快”保障了教学、办公、科研、生活的有序进行:

  • 新上线应用46个,年度访问量高达246万人次。
  • 新增平台集成业务27个,每日共享数据吞吐量达到35亿。
  • 新增开放API接口58个,全年API接口调用次数超过8000万次。
  •  

与“快”并行的,是业务系统运行的“稳”。

疫情之下,针对高校的APT攻击越发频繁,大量“零接触”校园业务的新增也衍生出0day漏洞、通用软件漏洞、弱口令等安全风险,在防疫和新业务运维占据大量人员精力的情况下,为何还能维持住所有业务系统的安全稳定运行,没有造成过重大的网络安全损失?

重庆大学显然早有准备。

主动式安全运营

实现技术、管理、运营、保障的有机融合

重庆大学各单位信息系统建设管理方式复杂多样,且信息资产相关业务人员变动频繁。复杂的组织架构加之人员流动、业务频繁变更导致影子资产、高风险端口、0day漏洞、恶意变种软件等风险不断累积。

此外,IT资产底数不清晰、应急响应流程缺乏、安全保障体系不全等安全挑战也成为重庆大学推进教育数字化战略行动的关键掣肘。

经过多次调研,重庆大学信息化办意识到:仅仅依靠传统的杀病毒、防火墙、入侵检测“老三样”已经难以应对网络外部攻击。作为校园网络安全建设的统筹者,如何构建集“防御、检测、响应”于一体的防御体系,实现由被动防御转为主动出击?

从顶层规划上,设计“技术+管理+运营+保障”四位一体的安全体系,对重庆大学来说是一次有益的尝试。

“基于此,我们以信息资产为核心,引入深信服安全托管服务MSS,重新打通‘云端专家—信息系化办—相关单位’之间的协作流程,通过主动式安全运营的方式开展‘资产、风险、威胁、事件、运维’的安全管理工作。”重庆大学信息化办高级工程师涂光友介绍道。

日常工作中,深信服云端安全专家对重庆大学校内业务进行7*24小时持续监测,并在发现异常情况时第一时间发布预警,同步至重庆大学信息化办,以此弥补专职网络安全人员编制少的短板。

在收到预警后,重庆大学信息化办会对安全威胁、事件进行决策处置,结合云端沉淀的安全知识库、自动化剧本,匹配内部规范流程推动相关单位工作;学校各单位在信息化办和云端运营专家提出的建议下,有序开展风险处置工作,极大地提升了安全能力和处置效率。

专项治理

快速实现挖*病毒的“动态清零”

在建立主动式安全运营体系的同时,重庆大学信息化办也注意到了挖*病毒引发的种种危害。

现代挖*病毒变种速度快、往往需要多设备联动分析才能检测到入侵动作、定位根因。在感染终端后,挖*病毒通常会通过定时任务、驻留后门等手法长期隐藏,查杀进程无法彻底拔除该病毒。重庆大学内部资产多,网络架构复杂且终端分布广泛更是给挖*病毒创造了绝佳的隐藏条件。

在深信服的专业支持下,重庆大学从主动式安全运营的思路出发,针对挖*病毒开展了“事前检测预警、事中拦截阻断、事后处置整改”的深度治理行动,效果显著。

  • 响应快

借助本地设备结合深信服云端安全托管服务,从情报+挖*协议角度完整覆盖明文、加密挖*多种场景,重庆大学对“挖*”流量进行准确率极高的多维交叉检测和一键封堵。

通过云端专家全天候的监测预警,重庆大学信息化办能够快速完成对挖*病毒的快速响应。

  • 误报少

重庆大学利用安全DNS云服务针对域名类的矿池进行识别与封堵,出口通过下一代防火墙在两校区的出口进行识别封堵矿池IP,结合线上人工分析,精准研判。

  • 效果佳

基于云端联动下一代防火墙主动探测不断更新的挖*情报库,重庆大学信息化办快速完成终端侧的感染排查和矿池IP的封堵,成功切断了大部分挖*流量外联主机的行为。

同时,通过校园认证系统的用户信息同步,重庆大学信息化办和云端专家可快速定位至风险终端/主机,实现实名制反查,并利用终端EDR进行精准查杀。针对新变种挖*病毒或反复查杀不彻底的情况,重庆大学信息化办、云端专家资源池、线下安全专家三方联动“会诊”。

如今,针对目前已知的所有失陷主机,重庆大学完成了所有闭环处置。

成果检验

大型攻防演练靶标系统“0失守”

“从通知到正式开始,我们仅有四天准备时间。经过前段时间的安全运营,我们降低了内部的安全风险,处于一个较为健康的网络环境。这次攻防演练是由国内最顶尖的网络安全专家充当攻击队。学校和信息化办积极协调资源,充分准备,迎接考验,力求做好防守工作。”——重庆大学信息化办高级工程师涂光友

在安全运营体系有效运转起来后,重庆大学马上迎来一次“大考”——行业级的大型攻防演练。

只有4天准备时间!形势紧迫,不容懈怠。重庆大学围绕“工作分工、资产梳理、设备加固、组织架构”四大方面开展了专项行动。

  • 工作分工

明确以专业安全服务公司(深信服)牵头统筹演习工作,迅速召开相关责任单位会议,部署工作任务。

  • 资产梳理

针对已梳理了资产再次进行脆弱性收集。同时,针对靶标系统进行深入的安全检查,做好迎战准备。

  • 设备加固

快速协调安全设备加固现网已知薄弱环节,重点投入安全厂商技术人员进行设备的策略调优。

  • 组织架构

建立工作小组,各司其职,明确分工,紧密合作,与二级单位构建起统一战线,打好本次演习攻坚战。

在演习期间,重庆大学充分利用云端专家和威胁情报库的能力,结合信息化办、线下专业安服工程师的配合,主动捕捉、阻挡到白天、黑夜的一次次攻击,及时进行封堵和加固。共计分析安全日志68万条,排查安全威胁6起,应急处置安全事件3,最终所有重点业务系统均经受住了攻防考验!

正如重庆大学校领导在学校智慧校园建设研讨会上做出的重要指示:

从数字化到信息化,信息化到智能化最终实现智慧化,是一条很长的路,只有让专业的人干专业的活,才能让这条路走的更顺畅、更稳妥。

作为智慧校园建设的关键工作,网络安全建设亦需要时间耕耘、专业人才加持。未来,重庆大学将继续携手深信服这一扎根教育行业20年,并且在网络安全领域有着深厚技术积累的企业,一起探索一条“持续有效”的网络安全运营新路径,以产生更多新可能。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章